2022-12-07

Adivinar contraseñas con inteligencias artificiales

Mapa de red
Un consejo que siempre damos y daremos es no utilizar como contraseña nombres relacionados con cada persona: familiares, mascotas, geografía, ... Creo que ya lo he dicho alguna vez pero me divierte, cuando me dejan hablar de ello, lanzar una pregunta al aire relativa a quién usa en la sala ese tipo de claves.
Les digo: no lo digáis, que no quiero saberlo, pero en muchos casos se nota en la cara de las personas que asisten.

En todo caso, para tratar de adivinar la contraseña de alguien que utilice este tipo de mecanismos hace falta conocerle un poco, que es un trabajo fácil o difícil según la cercanía que tenamos con la persona.

En la semana que nos hemos vuelto locos con la inteligencia articial (y la demostración al alcance de todo el mundo con ChatGPT, vale la pena recordar que en este momento hay alguien tratando de entrenar una inteligencia artificial con nuestros datos.

Un ejemplo es Automating Targeted Password Guessing, donde nos cuentan sobre un trabajo para simplificar el proceso de adivinación (y, de paso, hacerlo todavía menos aconsejable).
Entrenan a una inteligencia artificial mediante la información personal obtenida de uno de los múltiples robos que han sucedido a lo largo del tiempo. Y lo hacen con cierto éxito.


We refined machine learning models on user data from Wattpad's 2020 security breach to generate targeted password guesses automatically. This approach combines the vast knowledge of a 350 million parameter–model with the personal information of 10 thousand users, including usernames, phone numbers, and personal descriptions. Despite the small training set size, our model already produces more accurate results than non-personalized guesses.


Estas suposiciones resultan ser, claro, mucho mejores a la hora de adivinar las contraseñas (con la gente que utiliza información personal), no sólo cuando se usan los nombres directamente, sino también cuando se modifican de alguna manera (ojo).


Using targeted guesses greatly increases the likelihood of not only guessing a target's password, but also guessing passwords that are similar to it.


No me quiero imaginar la potencia de métodos como estos con la inteligencia de fuentes abiertas (OSINT).

Como conclusión, además de no recomendar nunca utilizar como contraseña la información relacionada con la persona, y por dar consejos en positivo: utilizar claves generadas automáticamente y de manera aleatoria: esto es, utilizar un gestor de contraseñas que haga el trabajo de generar la clave, y almacenarla para cuando la necesitemos.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-12-07 17:29 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

Referencias (TrackBacks)

URL de trackback de esta historia http://fernand0.blogalia.com//trackbacks/78649

Comentarios

<Febrero 2025
Lu Ma Mi Ju Vi Sa Do
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28